ADC

Processeur élevé

Vous trouverez ci-dessous certains des problèmes de débogage liés aux fonctionnalités et à l’utilisation intensive du processeur rencontrés, ainsi que les meilleures pratiques à suivre lors de l’utilisation du Web App Firewall :

Vérifiez les accès aux politiques, les liaisons, la configuration du réseau, la configuration du Web App Firewall :

  • Identifiez les erreurs de configuration
  • Identifiez le serveur virtuel qui dessert le trafic concerné

Consultez les journaux des fichiers journaux suivants pour détecter les violations de sécurité et les modifications de configuration récentes :

  • /var/log/ns.log
  • /var/nslog/import.log
  • /var/nslog/aslearn.log
  • tail -f /var/log/ns.log | grep APPFW_SIGNATURE_MATCH

Exemple :

Jun 13 01:11:09 <local0.info> 10.217.31.98 CEF:0|Citrix|NetScaler|NS11.0|APPFW| APPFW_SIGNATURE_MATCH|6|src=10.217.253.62 spt=61141 method=GET request= http://aaron.stratum8.net/FFC/wwwboard/passwd.txt msg=Signature violation rule ID 807: web-cgi /wwwboard/passwd.txt access cn1=140 cn2=841 cs1=pr_ffc cs2=PPE0 cs3=OyTgjbXBqcpBFeENKDlde3OkMQ00001 cs4=ALERT cs5=2015 cs6=web-cgi act=not blocked
<!--NeedCopy-->

Isolez le trafic concerné :

  • Isolez le profil
  • Isolez le contrôle de sécurité
  • Isolez l’URL, le serveur virtuel et les paramètres de trafic

Le suivi conditionnel au niveau du profil permet d’identifier les enregistrements de trafic et d’infractions :

  • set appfw profile <profile> -trace ON
  • start nstrace -mode APPFW -size 0
  • stop nstrace

Remarque : Assurez-vous que la trace est collectée avec l’option -size 0.

Vérifiez les compteurs d’activité appfw, dht et de réputation IP :

  • nsconmsg -g as_ -g appfwreq_ -g iprep -d current

Surveillez la taille de la fenêtre pour les réinitialisations lors de la connexion :

Appfw définit la taille de la fenêtre sur 9845 lorsque NetScaler réinitialise la connexion en raison d’un message http non valide.

Exemples :

  • Requête mal formée reçue - réinitialisation de la connexion
  • Problèmes liés à un processeur élevé
  • Consultez les fiches techniques pour connaître les limites du système
  • Vérifiez l’utilisation du processeur, l’appfw, le DHT et les activités liées à la mémoire. Surveillez les sessions d’appfw
  • nsconmsg -g cc_cpu_use -g appfwreq -g as -g dht -g MEM_AS_obj -g MEM_AS_component -d current

Surveillez la mémoire allouée et libérée par les composants et les objets du Web App Firewall pendant la période cible. Cela permet d’isoler la protection qui entraîne une utilisation élevée du processeur.

  • Sortie du profileur
  • Observez les journaux

Isolez la vérification appfw qui entraîne une augmentation du processeur :

  • Fermeture de l’URL de démarrage
  • Cohérence des fichiers de formulaire
  • CSRF
  • Protections relatives aux cookies
  • Vérification de l’en-tête du référent

Vérifiez que la mise à jour automatique des signatures n’entraîne pas une surcharge du processeur (Désactivez pour confirmer).

Processeur élevé

Dans cet article